16.500 euro beloning voor Sendmail, IIS of Apache lekken
Ondanks een nieuwe golf van kritiek over het aanbieden van geld voor beveiligingslekken, is beveiliger iDefense een nieuwe "Vulnerability Challenge" gestart. Onderzoekers die een lek in Apache httpd, Berkeley Internet Name Domain (BIND), Sendmail SMTP daemon, OpenSSH sshd, Microsoft Internet Information (IIS) Server of Microsoft Exchange Server vinden, kunnen maximaal 16.500 euro op hun bankrekening verwachten.
De wedstrijd loopt tot 30 september en om deel te nemen moet er via het lek wel willekeurige code uit te voeren zijn. Er mag verder geen social engineering worden toegepast. Standaard zijn de lekken 11.000 euro waard, maar afhankelijk van de kwaliteit van de exploit, leesbaarheid van de exploitcode en documentatie, kan men zo'n 5500 euro extra verdienen.
IDefense koos de techologieen omdat het een goed doelwit zou zijn. Vanwege de moeilijkheid besloot men de competitie tot het vierde kwartaal te laten lopen. "Wat me dwars zit, is dat het letterlijk de oude brandverzekering zwendel door de New Yorkse maffia is. Aan de ene kant verkopen ze de verzekering, maar aan de andere kant betalen ze mensen om de boel in de fik te steken," zegt Paul Henry van Secure Computing, die het een beter idee vindt dat als mensen een wedstrijd willen organiseren, ze dit met hun eigen spullen doen.
# is het veiliger een 'nobody' product te gebruiken dan een
mainstream app? (en dan bedoel ik mainstream open source,
niet closed source, want daar is het volgens mij juist andersom)
Loop je niet het risico door gebruik van een app die geen
hond gebruikt dat vulns daar HEEL lang in blijven en je
eigenlijk langer vuln bent dan met de grote groep mee te gaan?
En voor apache gebruik ik lighttpd (lighty), dat gaat het
helemaal worden :P
http://www.lighttpd.net/
Heb je de lijst vulnerabilities voor lighttpd wel eens bekeken?
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd
moet dat te doen zijn lijkt me. Volgens mij zijn IIS 6 en
Exchange 200x een stuk lastiger. Zou mooi zijn als die
producten eens naar echte besturingssystemen geport werden.
niets gevonden is het allemaal prima in orde is.
verleden. Tegenwoordig zit het behoorlijk degelijk in
elkaar. Het enige nadeel is dat het nogal lastig is om goed
te configureren. Aan de andere kant is er ook heel veel mee
mogelijk. Het wordt nog steeds heel veel gebruikt, als er
dus iets grondig mis mee zou zijn dan had dat allang en
breed bekend geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.